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© Dispositif et procede d'habilitation informatique ou telematique. 

© Un poste demandeur d'habilitation (DH) comprend dans 
un circuit protege (CDH) une memoire bis de donnees 
d'habilitation ou alias (a;) ainsi qu'un generateur (13) d'entiers 
aleatoires (r,) et des moyens de calcul (11 et 12} propres a 
effectuer respectivement une operation d'elevation a une 
puissance entiere modulo N et une multipiication modulo N, N 
etant par exemple un nombre premier. Ne sortent du circuit 
secret (CDH) qu'une premiere quantite representant !e trans- 
forme d'un entier aleatoire (r,) par la premiere operation ou une 
seconde quantite representant soit cet entier aleatoire lui- 
meme, soit le produit de cet entier aleatoire par f'alias (a,) 
modulo N. Ceci permet de verifier la donnee d'habilitation sans 
la connaitre. 
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Description 

Dispositif et precede d'habiiitattot 

L'invention concerne I'habilitatiort, en matiere 
informatique ou telematique. 

Elle trouve une application particuliere, non limita- 5 
tive, dans ce qu'on appelle la "monetique", e'est- 
a-dire la realisation quasi-automatique de transac- 
tions monetaires, commerciales ou financieres. 

L'exemple le plus simple d'habilitation consiste en 
la presentation par un usager d'une information ou 10 
donnee d'habilitation, telle qu'un code confidentiel, 
qu'il est en principe seul a connaTtre. La machine en 
face de laquelle il se trouve, ou "terminal", est 
equipee pour determiner si le code confidentiel 
presente est acceptable pour I'habilitation de I'usa- 15 
ger a une action determinee, telle que I'acces a des 
informations, ou la conclusion d'une transaction. Le 
controle de la validite d'un code confidentiel s'effec- 
tue actuellement selon des criteres choisis, tenant 
compte d'autres informations, non secretes, servant 20 
a reperer I'usager, comme celles figurant sur un 
releve d'identite bancaire. 

Des lors que I'usager doit presenter son code 
confidentiel, celui-ci est necessairement introduit 
dans le terminal. II existe done un risque qu'il soit 25 
intercepts. L'intercep teur est alors en mesure de 
"simuler" I'usager legitime du code confidentiel. 

Dans les applications actuelles, le risque d'inter- 
ception est rendu tres faible, par le fait que la 
circulation du code confidentiel dans le terminal est 30 
confinee a un espace controle, et/ou qu'il fait I'objet 
d'un chiffrement, en cas de transmission a distance. 

La presente invention a pour but d'ameliorer 
encore la securite, en permettant d'etablir une 
habilitation sans que le verificateur n'ait a connaTtre 35 
la ou les donnees d'habilitation elles-memes (code 
confidentiel par exemple). 

Pour alleger la suite de la presente description, on 
appelle "entier" un nombre entier, ou tout equivalent 
d'un nombre entier qui serait exprime en format fixe, 40 
independamment du fait qu'il contient ou non une 
virgule. Un entier peut egalement etre la transposi- 
tion en code binaire, de format fixe, de toute 
information alphanumerique. 

Les expressions "tirage au sort" et "aleatoire", 45 
qualifiant un "entier", visent la possibility d'obtenir 
materiellement, dans un circuit, un nombre entier 
aleatoire ou pratiquement aleatoire, dans la limite du 
format choisi pour les entiers. Un tel tirage au sort 
peut, par exemple, etre realise a I'aide d'un genera- 50 
teur de sequences pseudo-aleatoires. 

Le dispositif d'habilitation informatique ou telema- 
tique de l'invention est du type dans lequel un poste 
demandeur d'habilitation detient au mains une 
donnee de reperage et au moins une donnee 55 
d'habilitation, en principe secrete, dont il doit 
justifier aupres d'un poste verificateur, pour controle 
de validite selon des criteres choisis. 

L'homme de I'art comprendra que la donnee de 
reperage peut etre une donnee numerique classique 60 
physiquement disponible dans le poste demandeur 
d'habilitation, ou bien resulter simplement de carac- 
teristiques physiques de celui-ci, comme une liaison 



informatique ou telematique. 

particuliere dont il dispose a regard du poste 
verificateur. 

Selon une premiere caracteristique de l'invention, 
le poste demandeur comprend, dans un circuit 
protege : 

- des moyens de memoire de ladite donnee d'habili- 
tation sous la forme d'un entier d'habilitation dit 
"alias", 

- des moyens de tirage au sort, propres a definir des 
entiers aleatoires auxiliaires, 

- de premiers moyens de calcul propres a effectuer 
une premiere operation, non reversible, a un seul 
operande entier, 

- de seconds moyens de calcul propres a effectuer 
une seconde operation a deux operandes entiers, la 
premiere operation etant conservative a regard de 
cette seconde operation, 

et, en dehors du circuit protege : 

- des moyens d'interfaces propres a fournir selecti- 
vement la donnee de reperage, une premiere 
quantite representant le transforme d'un entier 
aleatoire auxiliaire par la premiere operation, ainsi 
qu'une seconde quantite representant soit le trans- 
forme par la seconde operation de ce meme entier 
aleatoire et de I'alias, soit cet entier aleatoire 
lui-meme. 

Ceci permet de verifier la donnee d'habilitation 
sans la connaTtre, et de verifier le caractere aleatoire 
des entiers auxiliaires. 

Avantageusement, la premiere operation est une 
elevation a une puissance, en particulier la puis- 
sance 3, modulo N, N etant un nombre entier public 
predetermine possedant un large spectre de restes 
en tant que diviseur dans une division entiere, ce 
que Ton appelle aussi un entier difficile ment 
factorisable. En particulier, N est un nombre premier 
ou un produit de deux nombres premiers. 

La seconde operation peut etre une multiplication 
modulo N. 

Selon une autre caracteristique, non imperative- 
ment necessaire, de l'invention, le poste verificateur 
comprend : 

- une memoire propre a contenir, en correspon- 
dance du reperage de chaque poste demandeur, au 
moins une quantite de reference representant le 
transforme de I'alias par la premiere operation, 

- des moyens de calcul propres a effectuer la 
premiere et la seconde operation, 

- des moyens d'interface propres a recevoir d'un 
poste demandeur la donnee de reperage et la 
premiere quantite, a lui transmettre un signal 
d'indice susceptible de prendre au moins deux etats 
differents, ainsi qu'a recevoir ensuite, selon I'indice, 
la seconde quantite ou rentier aleatoire, 

- des moyens d'interrogation susceptibles d'au 
moins deux etats differents commandant ceux du 
signal d'indice, et reagissant a la reception d'une 
donnee de reperage et d'une premiere quantite en 
prenant au choix un de ces deux etats, pour 
demander la seconde quantite associee au meme 
entier aleatoire ou I'autre de ces deux etats pour 
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demander rentier aleatoire lui-meme, et 
- des moyens logiques de decision d'habilitation en 
fonction, suivant I'etat choisi, soit de la concordance 
du transforme de la seconde quantite par la 
premiere operation et du transforme de la premiere 
quantite et de la quantite de reference par la 
seconde operation, soit de la concordance de la 
premiere quantite avec le transforme de rentier 
aleatoire par la premiere operation. 

Cependant, I'invention acquiert une puissance 
bien superieure lorsque le poste demandeur pos- 
sede, en memoire secrete, un nombre predeter- 
mine d'alias, formant une suite rangee. Le poste 
verificateur contient alors en memoire une partie au 
moins de la suite ordonnee correspondante de 
quantites de reference. Ses moyens d'interrogation 
possedent un nombre d'etats differents au plus egal 
au nombre d'alias, augmente de 1. 

Le poste verificateur peut ainsi demander, pour 
chaque premiere quantite recue en correspondance 
d'un entier aleatoire, soit rentier aleatoire d'origine, 
soit toute combinaison de celui-ci par !a seconde 
operation avec Tun quelconque des alias. 

Tres avantageusement, le poste verificateur com- 
porte en outre des moyens propres a verifier le 
caractere aleatoire des entiers auxiliaires, a partir 
d'une memorisation de ceux-ci sur un intervalle de 
temps suffisant. 

Dans un mode de realisation de I'invention, le 
poste demandeur est situe a distance du poste 
verificateur, et relie a celui-ci par modems. II emet 
d'abord une serie de premieres quantites relatives a 
des entiers aleatoires differents (ou plus exactement 
resultant de tirages differents, dont il peut arriver 
qu'ils donnent le meme resultat). Le poste verifica- 
teur etablit alors une "interrogation" parametree, 
non connue a I'avance du demandeur. Ensuite, la 
reponse du demandeur delivrera I'ensemble des 
resultats comprenant, en correspondance de cha- 
que premiere quantite, soit rentier aleatoire, soit la 
seconde quantite, selon le parametre d'interrogation 
recu du poste verificateur. 

Dans un autre mode de realisation de I'invention, 
le poste demandeur est situe localement au meme 
point que le poste verificateur auquel il est directe- 
ment relie. Le poste demandeur peut alors etablir 
ses entiers aleatoires un par un. Le dialogue 
d'habilitation consiste en une suite de questions 
portant chacune sur une premiere quantite relative 
a un entier aleatoire determine (en cours pour le 
poste demandeur), et ensuite soit sur cet entier 
aleatoire lui-meme, soit sur la seconde quantite qui 
correspond a ce meme entier aleatoire et a un entier 
d'habilitation designe. 

Dans la mesure ou le caractere non reversible de 
la premiere operation est suffisamment assure, on 
peut aussi concevoir que le poste demandeur 
transmette le transforme, par cette premiere opera- 
tion, de I'un au moins de ses alias. 

Ceci est d'ailleurs une maniere d'assurer le 
reperage du poste demandeur, pour le poste 
verificateur. 

L'invention offre aussi un procede d'habilitation 
informatique ou telematique entre au moins un poste 
demandeur et au moins un poste verificateur. Ce 
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procede comporte les etapes suivantes : 

a) memoriser prealablement au moins un 
entier d'habilitation ou "alias" dans le poste 
demandeur, 

5 b) equiper le poste demandeur de moyens 

propres au tirage au sort d'entiers auxiliaires 
aleatoires, 

c) equiper le poste demandeur et le poste 
verificateur de moyens de calcul propres a 
10 effectuer une premiere operation, non reversi- 

ble, a un seul operande entier, et une seconde 
operation a deux operandes entiers, la premiere 
operation etant conservative a I'egard de la 
seconde, 

15 d) a un moment quelconque, memoriser dans 

le poste verificateur le transforme du ou des 
alias par la premiere operation, 

e) lors d'une demande d'habilitation qui est 
supposee provenir du poste demandeur : 
20 e1) recevoir au poste verificateur le trans- 

forme par la premiere operation d'au moins un 
entier aleatoire determine, 

e2).emettre du poste verificateur un signal 
d'indice possedant au moins deux etats diffe- 
rs rents, 

e3) recevoir au poste verificateur une quan- 
tite qui, selon I'etat du signal d'indice, est 
supposee representor soit I'entier auxiliaire 
aleatoire, soit le transforme de cet entier 
30 auxiliaire aleatoire et de i'alias par la seconde 

operation, 

e4) decider de I'habilitation en fonction de 
I'exactitude de la quantite recue. 
Une maniere particuliere de mettre en oeuvre ce 
35 procede consiste a repeter les etapes e1) a e3), a ia 
volonte du poste verificateur, en faisant changer a 
chaque fois I'entier auxiliaire aleatoire et/ou I'alias 
concerne. Le poste verificateur peut ainsi poser 
autant de questions qu'it le veut, jusqu'a ce qu'il ait 
40 obtenu, avec un taux de vraisemblance suffisant, la 
preuve de I'habilitation du poste demandeur. 

Une autre mise en oeuvre du procede consiste en 
ce que I'etape e1) s'effectue pour une serie d'entiers 
aleatoires en nombres choisis; I'etape e2) porte 
45 alors sur un signal d'indice complete d'une designa- 
tion d'alias, en correspondance de chaque entier 
auxiliaire aleatoire; I'etape e3) porte le cas echeant 
sur I'alias designe pour chaque entier auxiliaire. 
Bien entendu, on pourra concevoir aisement 
SO d'autres variantes du dispositif et du procede qui 
viennent d'etre exposes. 

D'autres caracteristiques et avantages de I'inven- 
tion apparaTtront a I'examen de la description 
detaillee ci-apres, et des dessins annexes, sur 
55 lesquels : 

- la figure 1 est un schema de principe d'un 
dispositif permettant ia mise en oeuvre de 
I'invention; et 

- la figure 2 est un organigramme d'un 
60 exemple de mise en oeuvre du procede selon 

I'invention, applique a une authentication uni- 
directionnelle. 
Les dessins annexes comportent, pour I'essen- 
tiel, des elements de caractere certain. En conse- 
65 quence, ils pourront non seulement servir a mieux 



3 



0 294 248 



faire comprendre la description detaillee, mais aussi 
contribuer a la definition de I'invention, le cas 
echeant. 

Par ailleurs, il est clair que la description detaillee 
ci-apres concerne un exemple d'application de 
I'invention, donne a titre non limitatif. 

Sur la figure 1, le poste demandeur d'habilitation 
DH comporte un circuit secret CDH, une interface 
IDH, egalement designee par la reference 20, et un 
modem MDH egalement designe par la reference 29. 

Le caractere secret du circuit CDH est materia- 
lise sur le dessin par le fait que celui-ci est entoure 
d'un cadre en trait double. 

Le poste verificateur VH comporte un circuit CVH, 
qui n'a pas imperativement besoin d'etre secret, 
mais peut avantageusement I'etre. II s'y ajoute une 
interface IVH egalement designee par la reference 
40, et un modem MVH designe aussi par la reference 
49. 

L'homme de I'art comprendra que la liaison par 
modem s'entend si les postes DH et VH sont 
distants. Lorsqu'ils sont rapproches, on peut prevoir 
une liaison directe 50 entre les deux interfaces 20 et 
40. 

Le circuit secret CDH comporte une memoire 10 
servant a contenir les alias a-, qui sont les entiers 
d'habilitation. 

Ces entiers sont exprimes dans un format fixe de 
longueur L. 

Le circuit CDH comporte egalement un genera- 
teur 13 d'entiers aleatoires n, qui sont en principe de 
meme longueur L que ies alias. 

Le circuit CDH comporte encore un premier 
organe de calcul 1 1 capable d'effectuer une eleva- 
tion au cube modulo N d'un entier de longueur L. 

L'elevation au cube de nombres entiers est une 
operation connue de l'homme de I'art. Etant realisee 
modulo N, elle est simplifiee, puisqu'apres chaque 
multiplication il est possible d'effectuer une division 
par N du resultat et de poursuivre les calculs en 
utilisant le reste. La taille des registres de calcul s'en 
trouve reduite d'autant. 

Comme precedemment indique, N est un nombre 
premier ou un produit de deux nombres premiers. 
On pourra par exemple prendre N egal au nombre 
premier immediatement superieur a une puissance 
entiere de 2, comme 65537. Cela peut aussi 
simplifier les calculs. 

Le circuit 11 realise la premiere operation a un 
operande. Par exemple il fournit le reste de la 
division de la puissance cubique de son entree par le 
nombre N. Des lors que le nombre N possede un 
large spectre de restes, couvrant une large partie 
des valeurs de restes possibles de 0 a N, et de 
preference toutes ou presque toutes ces valeurs, il 
apparait que I'operation de calcul effectuee par 
I'organe 11 est non reversible, et qu'il est d'autant 
plus difficile de trouver le nombre entier d'entree 
applique a I'organe 11. 

Un second organe de calcul 12 realise une 
operation a deux operandes, comme par exemple 
une multiplication modulo N. Cette operation est 
denotee par I'operateur "." sur la figure 1, ou bien 
d'un carre marque d'une croix de Saint Andre sur la 
figure 2. 



II est necessaire que la premiere operation soit 
conservative a regard de la seconde. Cela signifie la 
chose suivante : soient x et y deux entiers. Le cube 
modulo N du produit de ces deux entiers par la 
5 seconde operation {une multiplication modulo N) 
doit etre egal au produit des cubes modulo N de x et 
de y. 

II existe d'autres couples d'operations entieres 
susceptibles de satisfaire cette condition. 

10 Le circuit secret CDH contient encore une logique 
de commande 15 qui controle la memoire 10, le 
generateur d'entiers aleatoires 13, les deux organes 
de calcul 11 et 12, ainsi que les sorties d'informa- 
tions du circuit secret CDH, lesquelles ne peuvent 

15 porter que sur des sorties des organes de calcul 11 
et 12 ou sur la sortie du generateur d'entiers 
aleatoires, a ('exclusion bien entendu de la sortie de 
la memoire d'alias 10. Le cas echeant, la logique de 
commande 15 peut egalement fournir al'interface 20 

20 les donnees reperant ou identifiant le poste deman- 
deur DH. (le mot "identifiant" est evite dans la 
presente description, car les donnees d'habilitation 
peuvent tres bien comprendre les donnees d'identi- 
fication; on parle simplement de "reperage" lorsqu'il 

25 s'agit de designer le poste demandeur concerne.) 

L'echange de donnees qui est ainsi possible a 
travers I'interface demandeur 20 transite directe- 
ment ou par modem vers le poste verificateur VH. 
Le circuit CVH de celui-ci comprend une memoire 

30 30 susceptible de contenir les transformees Ai par la 
premiere operation des alias a. de chacun des 
postes demandeurs qui peuvent solltciter une 
habilitation. Incidemment, on observera que lors- 
qu'un entier de base est designe par une minuscule, 

35 son transforme par la premiere operation est 
designe en principe par la majuscule correspon- 
dante. 

Le circuit CVH comprend egalement un organe de 
calcul 31 capable d'effectuer les premiere et se- 

40 conde operations. II comprend aussi une logique de 
commande et de decision 35, dans laquelie on 
pourra distinguer des moyens d'interrogation pro- 
prement dits et des moyens de decision, en plus des 
fonctions de commande generales des memoires et 

45 de I'organe de calcul ainsi que des entrees/sorties 
d'informations du circuit CVH. 

Ce circuit CVH comporte encore une memoire 
tampon 37 capable de recevoir les premieres 
quantites Ft. qui vont venir d'un poste demandeur. 

50 Ces premieres quantites Ri sont des transformees, 
supposees etablies dans le poste demandeur, d'un 
nombre entier aleatoire de base Ri. 

Mais il est egalement a craindre qu'un intrus ait 
intercepts la valeur Rj lors de sa circulation entre les 

55 deux postes. Ceci ne lui donne pas, pour autant, 
acces a rentier aleatoire de base n. 

Pour engendrer I'interrogation, il est avantageux 
de prevoir un organe specialise 32. II procede par 
tirage aleatoire, ou encore selon un algorithme 

60 specifique inconnu des demandeurs, et imprevisible 
de. ceux-ci. 

Une autre memoire tampon 38 va servir a stocker 
d'autres informations qui peuvent etre soit une 
seconde quantite pi, soit le transforme de celle-ci 
65 par la premiere operation, note exceptionnellement 
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WDi (plutot que Pi). 

Dans le cas d'une identification unidirectionnelle, 
le circuit CVH n'est pas necessairement un circuit 
secret comme le circuit CDH. En pratique, pour 
certains modes de realisation de I'invention au 
moins, on aura cependant interet a ce que le circuit 
CVH soit un circuit secret, compte tenu de son 
aptitude a accumuler un nombre assez important 
d'informations resultant de la mise en oeuvre de 
I'invention. La connaissance de cet ensemble d'in- 
formations pourrait en effet diminuer la securite de 
I'invention. 

On reviendra brievement sur les circuits CDH. En 
regard de la logique de commande, il apparalt un 
cadre 16 en trait tirete, dans lequel les connexions 
issues de la memoire 10 et du generateur 13 vers les 
organes de calcul ou vers I'exterieur sont chacune 
marquees d'un cercle. Ces cercles schematisent un 
interrupteur place sous le controle de la logique de 
commande 15. On notera egalement une liaison en 
trait tirete entre la memoire 10 et I'organe de calcul 
11. Cette liaison peut servir a transmettre des 
valeurs Ai, pour les applications ou celles-ci ne 
seraient pas toutes inscrites a priori dans la memoire 
30 du ou des postes verificateurs. 

La figure 2 permettra maintenant de mieux 
comprendre i'invention, sur un exemple elementaire 
de mise en oeuvre du procede. L'indice i utilise sur la 
figure 2 montre que ('interrogation ou question 
elementaire dont il s'agit a vocation a etre repetee. 

L'etape 101 consiste en un tirage au sort, dans le 
circuit 13, d'un entier auxiliaire aleatoire n. 

L'etape 102 consiste en un actionnement de 
I'organe de calcul 11 par la logique de commande 15, 
ce qui fournit le transforme Ri de I'entier aleatoire de 
base. L'etape 103 consiste en la transmission, sous 
le controle de la logique de commande 15, et a 
travers I'interface 20, de la grandeur R, vers le poste 
verificateur VH. II est suppose que, vu du cote de ce 
poste verificateur, le poste demandeur DH est 
"repere". Ceci peut se faire de toute maniere 
adequate, notamment de celfes evoquees plus haut. 

A l'etape 204, le poste VH recoit par son interface 
40 la grandeur Ri. Sous ie controle de la logique 35, 
cette grandeur est appliquee a I'organe de calcul 31 , 
pour effectuer la seconde operation de calcul, 
comme materialise en l'etape 206, en correspon- 
dence de I'une des quantites de reference A, 
disponibles dans la memoire 205. 

En meme temps, la logique de commande 35 
actionne la memoire 37, comme indique en l'etape 
207, pour qu'elle stocke la grandeur R, et, en 
principe, la grandeur RrA,. 

L'homme de I'art comprendra cependant que, 
pour certains modes de realisation de I'invention au 
moins, la realisation des etapes 205, 206 et de la 
mise en memoire Ri.A-, peut etre differee jusqu'a ce 
qu'on connaisse la valeur de Si. 

Ce qui vient d'etre decrit concerne la premiere 
partie d'une "question"; cette premiere partie est 
consecutive a I'emis-sion d'au moins un entier 
aleatoire par le poste demandeur, d'ou il resulte 
certaines actions dans le poste verificateur VH. 

Apres cela, l'etape 211 consiste en la definition 
d'un signal d'indice Si. 



Dans une version tout a fait elementaire du 
procede selon I'invention, ce signal d'indice ne 
prend que deux valeurs, par exemple 0 et 1 . Le signal 
en question est transmis au poste demandeur DH. Si 

5 sa valeur est 0. des aiguillages, schematises ici par 
des contacteurs, sont places tous les deux dans leur 
position de gauche. S, la valeur de Si est 1 , ils sont au 
contraire places dans leur position de droite. 
Cependant. il est plus avantageux que le signal 

10 d'indice Si puisse prendre d'autres valeurs. Celles-ci 
servent alors . a designer I'un des alias. Cette 
designation vient done d'un cote, dans le poste 
verificateur VH, definir la selection dans la memoire 
205 de celle des quantites de reference Ai qui va etre 

15 appliquee a I'operateur 206. Dans le poste deman- 
deur DH, cette designation serf a definir celui des 
alias ai contenus dans la memoire secrete 10 qui va, 
a l'etape 112, etre applique pour la realisation de 
l'etape 113 qui est une mise en oeuvre du second 

20 organe de calcul 12 par la logique de commande 15. 

La logique de commande 15 peut alors memoriser 
a l'etape 114 d'une part rentier aleatoire auxiliaire n 
(suppose toujours disponible en sortie du genera- 
teur 13), et d'autre part le produit n.arissu de l'etape 

25 113. 

On observe maintenant que, quelle que soit la 
position des commutateurs 115 et 215, et la valeur 
d'indice definie par le signal Si, on dispose en sortie 
des commutateurs 115 et 215, respectivement, 
30 d'une quantite de base notee pi, du cote du poste 
demandeur DH, et, du cote du poste verificateur VH, 
d'une quantite WVi qui est supposee etre le 
transforme de cette quantite de base par la premiere 
operation. 

35 La quantite de base pi est soit I'entier aleatoire n 

luimeme, soit une seconde quantite representant le 
produit de rentier aleatoire n et de I'alias ai par la 
seconde operation. 

L'etape 117 consiste en la transmission de la 

40 quantite pi du poste demandeur DH vers le poste 
verificateur VH ou elle est recue comme materialise 
a l'etape 218 a travers I'interface 40. 

La logique de commande 35 applique ce signal pt 
a I'organe de calcul 31, ou il subit la premiere 

45 operation comme indique en 219, ce qui fournit le 
transforme WDi de pi par cette premiere operation. 

La logique de commande 35 intervient alors 
comme indique a l'etape 220 pour prendre une 
decision ou une decision partieile, en fonction de la 

50 comparaison de WDi recu et de WVi calcule 
localement. 

Le mecanisme de prise de decision lui-meme peut 
faire I'objet de tres nombreuses variantes, des lors 
qu'on disposera d'un nombre suffisamment impor- 
55 tant de comparaisons elementaires effectuees a 
l'etape 220. 

Cela etant, on peut considerer schematiquement 
que toute comparaison invalide se traduira par la non 
habilitation du poste demandeur. Mais, pour un tres 
60 grand nombre de comparaisons, on peut admettre 
que quelques-unes d'entre elles soient erronees, 
sous certaines conditions. 

Comme deja indique, ce qui vient d'etre decrit en 
reference a la figure 2 est une mise en oeuvre 
65 "elementaire" du procede selon I'invention. Cette 
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mise en oeuvre elementaire peut etre resumee 
comme suit : 

En reponse a chaque tirage au sort d'un entier 
aleatoire n, et a la transmission de son transforme Ri, 
ie poste verificateur peut demander soit ce nombre 
aleatoire n luimeme, soit le produit par la seconde 
operation de rentier aleatoire et de I'un quelconque, 
designe par le signal si, des alias a-,. 

En posant a volonte le nombre de questions de ce 
type qui lui convient, le poste verificateur peut 
disposer d'autant de resultats de comparaison 220 
qu'il veut. 

A priori, on admettra que toute comparaison 
invalide sufftt a disqualifier un poste demandeur. Le 
nombre de questions posees pourra alors etre fixe 
en fonction d'un taux de securite a respecter qui 
peut etre soit predetermine, soit ajuste a volonte cas 
par cas par le poste verificateur. 

Dans ce qui vient d'etre decrit, differentes ques- 
tions sont posees sequentiellement. II est bien 
entendu possible, et plus interessant dans le cas 
d'une transmission par modem, de les poser en 
parallele. 

Dans ces conditions, ce n'est pas un tirage au sort 
mais une serie de tirages au sort que va transmettre 
initialement le poste demandeur DH au poste 
verificateur VH. 

Le nombre de tirages au sort n'est pas limite au 
nombre d'alias existants, car : 

- d'une part, certains nombres tires au sort ne 
serviront pas a la confirmation d'un alias, mais 
seront simplement verifies eux-memes; 

- d'autre part il peut etre souhaitable de verifier un 
ou plusieurs alias en considerant leurs produits par 
plusieurs entiers aleatoires. 

Un signal d'indice s, est alors transmis pour 
chaque entier aleatoire tire au sort. 

En consequence, on disposera d'autant de se- 
condes quantites Pi que de premieres quantites Ri. 

Finalement, on dispose d'un nombre de comparai- 
sons 220 egal au nombre d'entiers aleatoires r,- 
initialement defini. 

Dans ce dernier mode de realisation, on peut se 
contenter de poser une seule question multiple. 
Mais, si une securite superieure est desiree, le poste 
verificateur VH peut interroger le poste demandeur 
DH pour une nouvelle serie de tirages au sort, et 
ainsi de suite. 

Dans un exemple de realisation de I'invention, le 
nombre premier N est egal a 65537. 

Chaque entite (poste demandeur) se donne K 
alias differents, avec K egal a 7 ou 15 par exemple, 
ces alias etant numerotes de 1 a K. 

L'etape 101 consiste a tirer m nombres au hasard 
n, dont il envoie les transformes R, par la premiere 
operation (premieres quantites). Apres avoir effec- 
tue les operations deja decrites, le poste verificateur 
va renvoyer m valeurs du signal d'indice s,, pouvant 
aller de 0 a K, avec la contrainte que ces valeurs ne 
sont pas toutes nulles, de facon qu'au moins un alias 
soit verifie. Ceci determine la specificite de ('interro- 
gation faite par le poste verificateur, et garantit ainsi 
la personnalisation de la reponse. 

Le poste demandeur devra renvoyer les N pro- 
duits de la forme : 



p, = n.aj avec j = Si et, par definition, ao = 1 ■ En 
effet, a la valeur 0 du signal d'indice si, le poste 
demandeur repond en envoyant purement et simple- 
ment son nombre entier aleatoire n. 

5 La verification peut s'effectuer de la meme 
maniere, c'esta-dire en faisant systematiquement 
des produits de la forme: 

WVi = Ri.Aj, avec par definition Ao = 1. 

Cette remarque ouvre la voie a une realisation 

10 particulier.ement simple, permettant d'eviter les 
commutations illustrees en 115 et 215, puisque les 
cas ou Ton considere seulement le nombre aleatoire 
peuvent tres bien etre consideres comme un produit 
de celui-ci par I'unite (plus exactement par I'element 

15 neutre de la seconde operation). 

Les valeurs K et m sont determinees de facon que 
la probability 2 (k+1,m pour que la meme sequence 
soit redemandee a un poste demandeur identique 
soit tres faible. 

20 En pratique, on pourrait imaginer les couples 
suivants: 
K = 1, m = 10 
K = 18, m = 1 
K = 7, m = 3 

25 En prenant d'ores et deja des valeurs K = 7 et m=3 
ou K = 3 et m = 6, la probabilite sus-mentionnee est 
deja au moins egale a 2~ 24 . 

Dans les applications courantes, on peut se 
contenter de K = 3 et m = 4, ce qui donne encore une 
30 probabilite inferieure a deux cents milliemes, ou 
K = 1 et m = 8, ce qui donne te meme resultat. 

On donnera maintenant un exemple particulier 
d'appiication de I'invention. 

35 EXEMPLE 

Donnees de base : 
N = 2 16 + 1 = 65537, nombre premier 
K = 3, m = 4 

Identites secretes : 
40 ai = 11111 
a2 = 22222 
a 3 = 33333 

Quantites de reference Aj, obtenues par elevation 
au cube modulo N. 
45 Ai = 16119 
A 2 = 63415 
A 3 = 41991 

Tirage au sort des nombres aleatoires (etape 101). 
n = 12345 
SO r 2 = 34567 
r 3 = 56789 
r 4 = 78901 

Calcul et transmission des premieres quantites Ri 
(etapes 102, 103). 
55 Ri =23289 
R 2 = 64918 
R 3 = 12729 
R 4 = 12602 

Determination des quatre valeurs du signal d'in- 
60 dice Si, choisi par tirage au sort entre 0 et 3 (etape 
211). 
si=2 

S2 = 0 

s 3 = 2 
65 S4 = 3 



6 



11 



0 294 248 



12 



Determination des produits p,-, par multiplication 
modulo N (etapes 113, 114, 115). 
pi =58245 
p 2 = r2 = 34567 

p 3 = 50223 5 
p 4 = 07223 

Le simple examen des valeurs qui viennent d'etre 
donnees pour cet exemple montre qu'aucune des 
informations transmises n'a de rapport avec les alias 
secrets ai a as. 10 

Calcul des produits WVi (etapes 206, 207 et 215). 
WVi =61177 
WV 2 = 64918 
WV 3 = 55843 

WV 4 = 24844 15 

Transformation par la premiere operation des 
valeurs pi (etape 219). 
WDi =61177 
WD 2 = 64918 

WD 3 = 55843 20 
WD 4 = 24844 

Verification d'identite (etape 220) par la corres- 
pondence entre les WVi et les WDi. 

Comme deja indique, I'invention est susceptible 
de nombreuses variantes, notamment celles in- 25 
cluses dans le cadre des revendications ct-apres. 

Pour certaines applications, on peut par exemple 
envisager que ['etape 219 de la figure 2 soit mise en 
oeuvre dans le poste demandeur DH. Ceci supprime 
la necessite d'effectuer la premiere operation dans 30 
les postes verificateurs. En contrepartie, il devient 
moins facile de verifier le caractere aleatoire des 
tirages au sort effectues en 101 dans le poste 
demandeur. 

Par ailleurs, il est bien entendu possible d'interca- ' 35 
ler, dans la mise en oeuvre du procede selon 
I'invention, des interrogations portant sur le trans- 
forme A, des alias ai par la premiere operation. 

Enfin, les exemples decrits concernent une 
authentification unidirectionnelle. L'extension a une 40 
authentification mutuelle s'en deduit immediate- 
ment, en prevoyant naturellement des circuits 
secrets de chaque cote. 

A cote de cela, la longeur L du format des 
nombres entiers peut aller, suivant les applications, 45 
de 4 octets (utilisation pour habilitation individuelle, 
par code confidentiel) a des valeurs beaucoup plus 
elevees (transactions electroniques inter-ban- 
caires). 

De meme, pour augmenter la securite, la premiere 50 
operation peut etre une elevation a une puissance 
entiere plus grande que trois. 

Sur un autre plan, il est clair qu'on pourra 
chercher a restreindre autant que possible la 
connaissance des transformes Aj des alias ai. Ainsi, 55 
chaque poste verificateur peut ne disposer que 
d'une partie de ces transformes. 



.60 

Revendications 



1. Dispositif d'habilitation informatique ou 
telematique. 65 



dans lequel un poste demandeur d'habilitation 
(DH) detient au moins une donnee de reperage, 
et au moins une donnee d'habilitation, en 
principe secrete, dont il doit justifier aupres 
d'un poste verificateur (VH), pour controle de 
validite selon des criteres choisis, 
caracterise en ce que le poste demandeur (DH) 
comprend, dans un circuit protege (COM) : 
-des moyens de memoire (10) de ladite 
donnee d'habilitation sous la forme d'un entier 
d'habilitation dit "alias", 

- des moyens de tirage au sort (12), propres a 
definir des entiers aleatoires auxiliaires, 

- des premiers moyens de calcul (11) propres 
a effectuer une premiere operation, non reversi- 
ble, a un seul operande entier, 

- de seconds moyens de calcul (12) propres a 
effectuer une seconde operation a deux ope- 
randes entiers, la premiere operation etant 
conservative a regard de cette seconde opera- 
tion, 

et, en dehors du circuit protege, des moyens 
d'interface (IDH) propres a fournir selective- 
ment la donnee de reperage, une premiere 
quantite representant soit le transforme d'un 
entier aleatoire auxiliaire par la premiere opera- 
tion, ainsi qu'une seconde quantite represen- 
tant le transforme par la seconde operation de 
ce meme entier aleatoire et de I'alias, soit cet 
entier aleatoire lui-meme, ce qui permet de 
verifier la donnee d'habilitation sans la connaT- 
tre, et de verifier le caractere aleatoire des 
entiers auxiliaires. 

2. Dispositif selon la revendication 1, caracte- 
rise en ce que la premiere operation est une 
elevation a une puissance, en particulier la 
puissance trois, modulo N, N etant un nombre 
entier public predetermine possedant un large 
spectre de restes en tant que diviseur dans une 
division entiere, en particulier un nombre pre- 
mier ou un produit de deux nombres premiers, 
et 

en ce que la seconde operation est une 
multiplication modulo N. 

3. Dispositif selon I'une des revendications. 1 
et 2, caracterise en ce que le poste verificateur 
(VH) comprend : 

- une memoire (30) propre a contenir, en 
correspondence du reperage de chaque poste 
demandeur, au moins une quantite de reference 
(Ai) representant le transforme de I'alias (a*) par 
la premiere operation, 

- des moyens de calcul (31 ) propres a effectuer 
la premiere et la seconde operation, 

- des moyens d'interface (40) propres a rece- 
voir d'un poste demandeur la donnee de 
reperage et la premiere quantite, a lui transmet- 
tre un signal d'indice susceptible de prendre au 
moins deux etats differents, ainsi qu'a recevoir 
ensuite, selon I'indice, la seconde quantite ou 
rentier aleatoire, 

- des moyens d'interrogation (35) susceptibles 
d'au moins deux etats differents commandant 
ceux du signal d'indice, et reagissant a la 
reception d'une donnee de reperage et d'une 
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premiere quantite en prenant au choix I'un de 
ces deux etats, pour demander la seconde 
quantite associee au meme entier aleatoire, ou 
I'autre de ces deux etats pour demander rentier 
aleatoire lui-meme, et 

- des moyens logiques (35) de decision d'habi- 
litation en fonction, suivant I'etat choisi, soit de 
la concordance du transforme de la premiere 
quantite et de la quantite de reference par la 
seconde operation, soit de la concordance de 
la premiere quantite avec le transforme de 
rentier aleatoire par la premiere operation. 

4. Dispositif selon la revendication 3, caracte- 
rise en ce que le poste demandeur (DH) 
possede, en memoire secrete (10), un nombre 
predetermine d'alias, formant une suite rangee, 
en ce que le poste verificateur (VH) contient en 
memoire (30) une partie au moins de la suite 
ordonnee correspondante de quantites de 
reference et en ce que ses moyens d'interroga- 
tion (35) possedent un nombre d'etats diffe- 
rent^ au plus egal au nombre d'alias, augmente 
de 1. 

5. Dispositif selon Tune des revendications 3 
et 4, caracterise en ce que le poste verificateur 
(VH) comporte egalement des moyens (37, 38, 
35) propres a verifier le caractere aleatoire des 
entiers auxiliaires. 

6. Dispositif selon I'une des revendications 1 

a 5, caracterise en ce que le poste demandeur 30 
(DH), distant du poste verificateur (VH), est 
relie a celui-ci par modems (29, 49), en ce qu'il 
emet d'abord une serie de premieres quantites 
relatives a des entiers aleatoires differents, et 
ensuite, en correspondance de chaque pre- 35 
miere quantite, soit rentier aleatoire, soit la 
seconde quantite. 

7. Dispositif selon I'une des revendications 1 
a 5, caracterise en ce que le poste demandeur 
(DH), local, est directement relie au poste 40 
verificateur (VH), et en ce qu'il repond a une 

suite de questions portant chacune d'abord sur 
une premiere quantite relative a un entier 
aleatoire determine, et ensuite soit sur cet 
entier aleatoire, soit sur la seconde quantite qui 45 
correspond a celui-ci et a un entier d'habilita- 
tion designe. 

8. Dispositif seion I'une des revendications 1 
a 7, caracterise en ce que le poste demandeur 

(DH) est egalement capable de transmettre le 50 
transforme, par la premiere operation, de I'un 
au moins de ses alias. 

9. Procede d'habilitation informatique ou 
telematique entre au moins un poste deman- 
deur et au moins un poste verificateur, caracte- 55 
rise par les etapes suivantes : 

a) memoriser prealablement (10) au 
moins un entier d'habilitation ou "alias" 
dans le poste demandeur, 

b) equiper le poste demandeur de 60 
moyens (13) propres au tirage au sort 
d'entiers auxiliaires aleatoires, 

c) equiper le poste demandeur et le 
poste verificateur de moyens de calcul (1 1 , 

12; 31) propres a effectuer une premiere 65 



operation, non reversible, a un seul ope- 
rande entier, et une seconde operation a 
deux operandes entiers, la premiere ope- 
ration etant conservatrice a I'egar.d de la 
seconde, 

d) a un moment quelconque, memoriser 
dans le poste verificateur (30) le trans- 
forme du ou des alias par la premiere 
operation, 

e) lors d'une demande d'habilitation qui 
est supposee provenir du poste deman- 
deur : 

e1) recevoir au poste verificateur (VH) le 
transforme par la premiere operation, d'au 
moins un entier aleatoire determine, 

e2) emettre du poste verificateur (VH) 
un signal d'indice possedant au moins 
deux etats differents, 

e3) recevoir au poste verificateur (VH) 
une quantite qui, selon I'etat du signal 
d'indice, est supposee representer soit 
rentier auxiliaire aleatoire, soit le trans- 
forme de cet entier auxiliaire aleatoire et de 
I'alias par la seconde operation, 

e4) decider de I'habilitation en fonction 
de I'exactitude de la quantite recue. 

10. Procede selon la revendication 9, caracte- 
rise en ce que les etapes ei) a e3) sont 
repetees a la volonte du poste verificateur (VH), 
en faisant changer a chaque fois rentier 
auxiliaire aleatoire et/ou I'alias concerne. 

11. Procede selon la revendication 9, caracte- 
rise en ce que I'etape e1) s'effectue pour une 
serie d'entiers aleatoires en nombre choisi, 
I'etape e2) porte sur un signal d'indice com- 
plete d'une designation d'alias, en correspon- 
dance de chaque entier auxiliaire aleatoire, 
I'etape e3) porte, le cas echeant, sur I'alias 
designe pour chaque entier auxiliaire. 
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